← Memento

Politique de confidentialité

Dernière mise à jour : 11 avril 2026 — Version 1.0 (brouillon)

La présente politique explique comment Memento (le « Service ») collecte, utilise et protège les données personnelles des organisateurs et des invités qui l'utilisent. Elle est rédigée conformément au Règlement Général sur la Protection des Données (« RGPD »), à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés ») et aux recommandations de la CNIL.

1. Responsable du traitement

Le responsable du traitement est :
Maiko BOSSUYT
Contact : hello@memento.events
Basé en France 🇫🇷.

2. Données collectées

2.1 Organisateurs

  • adresse e-mail (obligatoire)
  • nom ou pseudonyme (obligatoire)
  • mot de passe sous forme hachée (obligatoire)
  • métadonnées des événements créés (titre, description, dates, paramètres de modération)
  • journal d'audit des actions sensibles effectuées sur les événements

2.2 Invités

  • pseudonyme ou prénom choisi au moment de rejoindre l'événement
  • les photos envoyées depuis le navigateur de l'invité (contenu visuel + métadonnées EXIF retirées automatiquement)
  • horodatage de participation (date de rejoindre, dernière activité)
  • adresse IP du navigateur au moment de la requête, utilisée uniquement à des fins de lutte contre la fraude (jeton de limite de débit stocké dans Redis, effacé automatiquement après 1 heure)

Memento ne collecte aucune donnée de géolocalisation fine, aucun identifiant publicitaire, aucun traceur marketing et n'utilise aucun service tiers d'analyse.

3. Base légale du traitement

  • Organisateurs : exécution du contrat de service (art. 6.1.b du RGPD). Le compte permet d'utiliser le produit.
  • Invités : consentement explicite (art. 6.1.a du RGPD). Aucun invité ne peut rejoindre un événement sans cocher la case de consentement au moment de la saisie de son pseudonyme.
  • Journal d'audit : intérêt légitime (art. 6.1.f du RGPD), tenu comme preuve d'une bonne gestion des données et pour la conformité au RGPD lui-même (art. 30).

4. Durée de conservation

  • Comptes organisateurs : conservés tant que le compte est actif. Un compte inactif pendant plus de 24 mois est supprimé après un e-mail de rappel.
  • Photos originales : la durée de conservation est fixée par l'organisateur au moment de la création de l'événement (30 jours, 90 jours, 1 an selon l'offre choisie). À l'échéance, les fichiers sont supprimés automatiquement et définitivement de nos serveurs par un processus de rétention quotidien.
  • Exports ZIP : 7 jours après génération.
  • Journal d'audit : conservé 12 mois après la fin de vie de l'événement qu'il décrit, puis supprimé.

5. Vos droits

Conformément au RGPD, vous disposez à tout moment des droits suivants sur les données personnelles vous concernant :

  • Droit d'accès(art. 15) : obtenir une copie de toutes vos données. Les organisateurs peuvent exporter leurs données depuis /account. Les invités peuvent demander l'export via hello@memento.events.
  • Droit de rectification(art. 16) : corriger des données inexactes depuis les paramètres de votre compte ou sur demande.
  • Droit à l'effacement(art. 17) : les organisateurs peuvent supprimer leur compte et toutes leurs données depuis /account. Les invités peuvent supprimer leur contribution (leurs propres photos) depuis la page de fin d'envoi.
  • Droit à la portabilité(art. 20) : l'export au format JSON est fourni par le droit d'accès ci-dessus.
  • Droit d'opposition(art. 21) : par e-mail à hello@memento.events.
  • Droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

6. Sous-traitants et hébergement

Memento est hébergé exclusivement en Europe et n'utilise aucun prestataire relevant du Cloud Act américain. Les sous-traitants actuels sont :

  • OVHcloud (France) — hébergement applicatif, base de données, stockage objet
  • Scaleway Transactional Email (France) — envoi des e-mails transactionnels (magic link, notifications de rétention). Prévu en phase 2.

Aucune donnée personnelle n'est transférée en dehors de l'Espace Économique Européen.

7. Sécurité

Nous appliquons l'état de l'art en matière de sécurité :

  • mots de passe hachés avec bcrypt, jamais stockés en clair
  • cookies de session marqués HttpOnly, SameSite=Lax, Secure
  • chiffrement TLS 1.3 pour toutes les communications
  • les photos sont stockées dans un bucket privé, accessibles uniquement via des URLs signées à durée limitée
  • les métadonnées EXIF (dont la géolocalisation) sont retirées automatiquement lors du traitement
  • limitation du débit sur toutes les routes publiques pour prévenir l'abus
  • audits automatiques de chaque action sensible

8. Cookies

Memento utilise exclusivement des cookies strictement nécessaires au fonctionnement du service :

  • un cookie de session pour les organisateurs authentifiés (24 heures)
  • un cookie de jeton invité pour les invités ayant rejoint un événement (24 heures)

Ces cookies ne nécessitent pas de consentement préalable (art. 82 de la loi Informatique et Libertés). Aucun traceur analytique, publicitaire ou tiers n'est utilisé.

9. Modification de la politique

Cette politique peut être mise à jour pour refléter des évolutions du service ou de la législation. Toute modification substantielle sera notifiée aux utilisateurs par e-mail au moins 30 jours avant son application.

10. Contact

Pour toute question relative à cette politique ou pour exercer vos droits, écrivez-nous à hello@memento.events. Nous répondons dans un délai de 30 jours, conformément au RGPD.

Ce document est protégé par le droit d'auteur — Memento © 2026. Toute reproduction partielle ou totale est autorisée à titre d'exemple documentaire.